当前位置: 首页 > 行业资讯 > 网络安全日报 2024年09月11日

网络安全日报 2024年09月11日

发表于:2024-09-11 08:25 作者: 合天网安实验室 阅读数(1357人)

1、IBM修复webMethods集成中的多个安全漏洞

https://securityonline.info/cve-2024-45076-cvss-9-9-critical-flaw-in-ibm-webmethods-integration-demand-immediate-action

IBM发布了一份关于其webMethods Integration Server的安全公告,披露了多个漏洞,这些漏洞可能允许经过身份验证的用户执行任意命令、提升权限和访问敏感文件,受影响的软件版本为10.15。这些漏洞分别是CVE-2024-45076(CVSS 9.9)、CVE-2024-45075(CVSS 8.8)、CVE-2024-45074(CVSS 6.5)。IBM已修复这些安全漏洞,受影响的用户应尽快使用Update Manager下载并安装修复程序。

2、Red Hat发布针对Pulpcore身份验证绕过漏洞的安全补丁

https://securityonline.info/red-hat-issues-critical-patch-for-pulpcore-authentication-bypass-flaw-cve-2024-7923

Red Hat发布了一个安全公告,警告Pulpcore中存在一个身份验证绕过漏洞(CVE-2024-7923)。Pulpcore是Red Hat Satellite部署中使用的内容管理系统。该漏洞的CVSS评分为9.8,可能允许未经授权的用户获得管理员访问权限,进而导致系统完全被攻陷。该漏洞影响所有使用Pulpcore 3.0或更高版本的Red Hat Satellite部署(版本6.13、6.14和6.15)。Red Hat已发布针对CVE-2024-7923的安全补丁,用户应尽快进行更新。

3、支付网关供应商Slim CD披露一起数据泄露事件

https://www.bleepingcomputer.com/news/security/payment-gateway-data-breach-affects-17-million-credit-card-owners/

支付网关供应商Slim CD披露了一起数据泄露事件,近170万人的信用卡和个人数据遭到泄露。Slim CD是一家提供支付处理解决方案的公司,帮助企业通过基于网络的终端、移动或桌面应用程序进行支付。该公司今年6月15日首次发现其系统中的可疑活动。在调查过程中,公司发现攻击者早在2023年8月17日就进入其网络。Slim CD表示,调查发现未经授权的系统访问发生在2023年8月17日至2024年6月15日之间,攻击者在今年6月14日至15日两天内查看或获取了信用卡信息。可能被访问的数据包括:全名、物理地址、信用卡号码、支付卡到期日期。

4、Akira勒索组织利用SonicWall的漏洞进行攻击活动

https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts/

近期,SonicWall披露了SonicOS中的一个安全漏洞CVE-2024-40766,该漏洞影响了一些SonicWall防火墙设备,并会影响防火墙的SSLVPN功能。研究人员发现,Akira勒索组织通过入侵SonicWall设备上的SSLVPN用户账号进行勒索软件攻击。在发现的每起案例中,被盗用的账号都是设备本身的本地账号,并且这些账号均未开启多因素认证(MFA)。强烈建议运行受影响SonicWall产品的组织尽快升级到最新支持的SonicOS固件版本。此外,按照SonicWall的建议,应为所有本地管理的SSLVPN账号启用多因素认证(MFA)。

5、世界首个有法律约束力的AI公约出炉,欧美英已签署

https://www.secrss.com/articles/69984

《AI公约》共8章36个条款,为AI规定了一系列原则,包括保护隐私和个人数据、平等和非歧视、不损害人的尊严和自主……公约要求签署国对人AI产生的任何有害和歧视性结果负责,并要求AI侵权的受害者拥有法律追索权。

6、新加坡提出立法禁止选举中使用Deepfake

https://www.secrss.com/articles/70083

9月9日,新加坡数字发展和信息部(MDDI)提出了一项新立法,旨在遏制在选举期间使用深度伪造和其他数字操纵的内容。此前,民众担忧人工智能被滥用来传播错误信息。

7、62款知名App完成个人信息收集使用合规整改

https://www.secrss.com/articles/70062

为规范App收集使用个人信息行为,保护个人信息权益,推动形成全社会共同维护个人信息安全的良好环境,中国网络空间安全协会组织指导网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务共10类62款App运营方,对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了合规整改优化。

8、微信安卓版存在高危漏洞可能导致远程代码执行

https://www.secrss.com/articles/70042

近日,网络安全公司Cisco Talos披露了腾讯微信(WeChat)应用程序中存在的一个高危安全漏洞。该漏洞允许攻击者通过微信发送的恶意链接执行远程代码,从而控制用户的设备。

9、全国网安标委发布《人工智能安全治理框架》1.0版

https://www.secrss.com/articles/70005

9月9日,在2024年国家网络安全宣传周主论坛上,全国网络安全标准化技术委员会(以下简称“网安标委”)发布《人工智能安全治理框架》1.0版。

10、微软发布Windows 更新修复被利用的零日漏洞

https://www.tenable.com/blog/microsofts-september-2024-patch-tuesday-addresses-79-cves-cve-2024-43491

CVE-2024-43491是 Microsoft Windows 更新中的一个 RCE 漏洞,影响 Windows 10 版本 1507(Windows 10 Enterprise 2015 LTSB 和 Windows 10 IoT Enterprise 2015 LTSB)上的可选组件。该漏洞的 CVSSv3 评分为 9.8,最高严重程度为严重,Microsoft 已将其标记为在野利用。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。